Information om bolagens system för intern styrning och kontroll har under lång tid betraktats som företagsinterna angelägenheter. Systemens utformning och effektivitet har i allt väsentligt behandlats innanför bolagets väggar och brister i kontrollmiljö eller aktiviteter har inte redovisats för allmänheten. Men en del uppmärksammade kriser har lett till skärpta krav. I denna artikel uppmanar Anders Hult och Olof Arwinge alla berörda att ställa frågor om intern styrning och kontroll.
COSO – The Committee of Sponsoring Organizations of the Treadway Commission
ÅRL – Årsredovisningslagen
OECD – Organisation for Economic Co-operation
and Development
ABL – Aktiebolagslagen
IFAC – International Federation of Accountants
Svagheter i företagens interna styrning och kontroll som uppmärksammas i media genererar ofta hastig lagstiftning, exempelvis Sarbanes-Oxley Act i USA i början av 2000-talet. I Storbritannien tillkom bolagsstyrningsprinciper i början av 1990-talet, via Cadbury-rapporten, vilka utvecklades till den nuvarande UK Corporate Governance Code. Och i Sverige har vi sedan ett antal år Svensk kod för bolagsstyrning. Världen över ser vi exempel på liknande bolagsstyrningskoder och ofta bygger de på en principbaserad ansats, comply-or-explain. Gemensamt för bolagsstyrningsreglering under de senaste årtiondena är betydelsen som fästs vid transparens och öppenhet. Det förväntas att styrelse och ledning är transparenta gentemot omvärlden bland annat rörande bolagens interna styrning och kontroll.
Lågt informationsvärde
Nu är rapportering av intern styrning och kontroll en etablerad rutin i de noterade bolagen. Men under 1990-talet skapade de nya rapporteringskraven rabalder i Storbritannien. Liknande uppståndelse blev det här i Sverige i och med den första versionen av Koden.
Sedan ikraftträdandet av den svenska bolagsstyrningskoden 2005 och de förändringar som gjordes 2005–2006 har de svenska kraven beträffande extern rapportering av intern styrning och kontroll inte förändrats nämnvärt. Kraven är fortfarande avgränsade till hur den interna kontrollen är organiserad, samt endast till de delar som rör den finansiella rapporteringen. Frågan är hur långt vi har kommit inom detta område när vi nu är i början av år 2013? Inte tillräckligt långt – enligt vår mening.
Vår erfarenhet är att de flesta rapporter om intern styrning och kontroll endast innehåller översiktlig information. Den ena rapporten påminner om den andra, och merparten av rapportörerna radar upp beskrivningar utifrån COSO-organisationernas ramverk på ett likartat sätt. Mot bakgrund av att COSO tydligt anger att inget system för intern styrning och kontroll är det andra likt är detta förvånande.
Bolagsstyrningsrapporten, där rapporten om intern styrning och kontroll ingår, innehåller däremot i många fall värdefull information i enlighet med kraven i ÅRL och Koden och dessa delar beskrivs ofta på ett ingående sätt. Även företagens riskhanteringsprocesser beskrivs numera relativt fullödigt, särskilt i finansiell sektor. Detta i kontrast mot rapporten om intern styrning och kontroll som inte sällan är kortfattad, och i vissa fall endast till begränsad del företagsspecifik.
Borde då kapitalmarknadens aktörer och allmänheten få bättre information? Ja, menar vi. Intern styrning och kontroll utgör fundamentet i bolagens riskhanteringssystem, och det är bevisat att brister i intern styrning och kontroll kan släppa igenom incidenter, falsarier som i värsta fall kan leda till konkurs. Men vi kan ändå konstatera att många av rapporterna om intern styrning och kontroll så som de är utformade i dag knappt har något informationsvärde alls när det gäller det enskilda företaget. Detta är ett bekymmer som också påpekas av OECD, i en rapport från 2010 om bolagsstyrning i kölvattnet av den finansiella krisen.
För att vara värdefull måste den information som läggs fram i bolagens rapporter ge underlag till bättre beslut för dem som använder den. Detta är även något som Kollegiet för svensk bolagsstyrning betonar i sina undersökningar av bolagens tillämpning av koden. Kollegiet menar, beträffande bolagens tillämpning av koden för perioden 2011, att informationsvärdet i bolagens förklaringar väsentligt förbättrats. Detta handlar då om avvikelser från Kodens regler, där förklaringar måste lämnas. Vad vi främst vill diskutera här är bolagens behandling och beskrivning av sina system för intern styrning och kontroll utifrån regel 7.4 i Koden och ÅRL (1995:1554) 6 kapitlet 6 § andra stycket andra punkten. Den rapportering som i dag görs utifrån dessa regler blir på grund av de oprecisa kraven inte nödvändigtvis avgörande för analytiker, ägare och investerare vid bedömningar av ett bolags framtidsutsikter.
Det bör noteras att i Europeiska kommissionens grönbok om bolagsstyrning från 5 april 2011 anges att det är av stor vikt att revisionsutskotten och därmed styrelserna i de börsnoterade företagen prioriterar riskfrågorna såväl i det strategiska arbetet som i den aktuella verksamhetsplaneringen. Styrelsen måste ha en strategi för vilka risker man är beredd att låta företaget ta och hur dessa risknivåer ska kunna efterlevas och följas upp i organisationen. Riskhanteringsarbetet lägger grunden för intern styrning och kontroll i verksamheten samt involverar företagets internrevision för att följa upp systemen för riskhantering och intern kontroll, så som det definierats i ABL 8 kapitlet § 49a. Remissarbetet inom EU är ännu inte helt avslutat vilket innebär att vi får vänta på besked om hur bolagsstyrningen inom EU kommer att utformas på den här punkten.
Dagens debatt kring rapportering av intern styrning och kontroll i Sverige kan som vi ser det brytas ner i fyra frågeställningar:
Finns en efterfrågan på information om bolagens interna styrning och kontroll?
Bör rapporteringskrav endast avse hur systemet är organiserat eller även omfatta systemets effektivitet?
Bör rapporteringskrav endast avse finansiell rapportering eller även andra processer?
Bör rapporteringskrav innefatta yttrande från revisor och hur detta görs i sådana fall?
Finns det en efterfrågan på rapporter?
En avgörande fråga är vilken information som egentligen efterfrågas av läsare av bolagsstyrningsrapporter och rapporter om intern styrning och kontroll. Vill användare veta hur systemet för intern kontroll är organiserat i bolaget? Vill de att styrelse och ledning ger indikationer om huruvida systemen de facto fungerar effektivt eller inte? Vilka förväntningar finns på revisorsgranskningen som numera är ett lagkrav? Är användarna över huvud taget betjänta av denna typ av information som vägledning vid beslut?
Studier av behovet av denna typ av information är relativt sällsynta. Ser vi specifikt till Sverige är sådana studier, såvitt vi känner till i stort sett obefintliga. Kodbarometern från Kollegiet för svensk bolagsstyrning ger ett relevant tillskott, men den undersöker främst allmänhetens och kapitalmarknadsaktörernas syn på Koden och svensk bolagsstyrning i stort. En bedömning av den information som lämnas om bolagens interna styrning och kontroll lyser fortfarande med sin frånvaro. Det föreligger därmed enligt vår mening ett behov av att bättre undersöka olika intressenters syn på de rapporter som rör bland annat CSR och intern styrning och kontroll. När en sådan uppföljning görs bör det utredas huruvida nuvarande regelverk och tillämpning genererar den information som aktieägare, investerare och analytiker efterfrågar.
Utländska studier visar att intresset för bättre riskrelaterad information från bolagen överlag ökar1. En viktig aspekt i sammanhanget är graden av läsbarhet. Man har upptäckt att en större mängd riskrelaterad informationen i sig inte omedelbart medför en förbättrad kunskap om bolagets riskhantering. Information om intern styrning och kontroll måste framför allt vara lätt att förstå och lätt att konsumera för att ge läsaren ett värde, varför leverantörer av denna information (styrelser och företagsledning) har ett stort ansvar för att kommunicera tydligt.
På konsumentsidan av rapporterna (kapitalmarknad och allmänhet) finns ett motsvarande intresse av information och att lära sig mer om bolagens system för intern styrning och kontroll. Ska en tydlig och stark efterfrågan kring behovet av denna information skapas, behöver kunskapsnivån höjas angående intern styrning och kontroll. Detta är i sig inte förvånande då begreppet intern styrning och kontroll ännu inte är allmänt accepterat. Men mot bakgrund av att brister i intern styrning och kontroll kan släppa igenom incidenter och felaktigheter och därmed orsaka förluster är begreppet viktigt att känna till och förstå.
Hermanson (2000); McMullen, Raghunanadan och Rama (1996); Solomon, Solomon, Norton och Joseph (2000); O’Reilly-Allen & McMullen (2002); Spira och Page (2003); Linseley & Lawrence (2007); Wallace (1981).
Bör rapporteringskrav avgränsas till systemets utformning?
Den andra frågeställningen rör huruvida rapporteringen av intern styrning och kontroll endast bör omfatta systemens utformning och tillämpning. Frågan har aktualiserats under senare år i takt med införandet av bolagsstyrningsregler i olika delar av världen. Även här har uppmärksammade företagsproblem haft betydelse, både i Sverige och utomlands. När svagheter i processer och rutiner släpper igenom felaktigheter som materialiseras till obekväma incidenter och i vissa fall förluster för ägare ställs det många frågor kring just intern styrning och kontroll. Den svenska koden ställer som bekant inga krav på bolagen beträffande uttalanden om systemens effektivitet. Dock fanns sådana krav med i den ursprungliga versionen av koden från 2004, dåvarande punkt 3.7.2.
I dag hänvisar avsnitt 7.4 i Koden till 6 kapitlet i ÅRL 1995:554 som kräver att en bolagsstyrningsrapport bland annat ska innehålla upplysningar om de viktigaste inslagen i bolagets system för intern kontroll och riskhantering i samband med den finansiella rapporteringen. Vad som avses med detta har inte klargjorts, och praxis för denna rapportering har därmed reducerats till allmänna beskrivningar utifrån COSO-ramverket. Även om bolagens rapporter om intern styrning och kontroll varierar i djup och omfattning är de överlag relativt likartade, och beskriver övergripande bolagens system för intern styrning och kontroll utifrån COSO-ramverkets fem komponenter. Informationsvärdet i det enskilda fallet kan starkt ifrågasättas.
Självklart finns behov av att förfina dessa redogörelser, och på ett mer informativt och företagsspecifikt sätt beskriva hur systemen för intern styrning och kontroll är organiserade. På sikt bör bolagen enligt vår mening ta sikte på en nivå där man har underlag som medger att man kan uttala sig om huruvida system för intern styrning och kontroll fungerar effektivt – alldeles oavsett vilket ramverk man tillämpar. Det bör uppmärksammas att de globalt mest använda principerna för intern styrning och kontroll, utfärdade av COSO-organisationerna, fäster stor vikt vid det som kallas monitoring (uppföljning). I det uppdaterade ramverket som släpps under 2013 anges 17 principer för intern styrning och kontroll, där en av dessa just handlar om att löpande samt periodiskt utvärdera huruvida kontroller fungerar så att det blir möjligt att göra bedömningar och intyganden.
Styrelser som använder bolagsstyrningsrapporten för att uttala sig om systemens effektivitet har därmed möjlighet att kommunicera en lägre risknivå till kapitalmarknad och allmänhet. Sådana ambitioner torde även vara i linje med syftet beskrivet i avsnitt 7.4 i Koden, som föreskriver att styrelsen ska se till att bolaget har god intern kontroll för finansiell rapportering.
Jämförelsevis har myndigheterna i Sverige kommit längre än de enskilda företagen inom detta område. Vid samtliga myndigheter som omfattas av förordningen om intern styrning och kontroll (2007:603) (FISK), ska ledningen enligt 2 kapitlet 8 § i förordningen om årsredovisning och budgetunderlag (2000:605) i samband med undertecknandet av årsredovisningen lämna en bedömning av huruvida den interna styrningen och kontrollen är betryggande. Begreppet betryggande har i detta sammanhang inte definierats (även om handledningar har upprättats). Praxis antyder att det ligger nära ett uttalande om huruvida systemet fungerar effektivt eller inte. I de fall det föreligger brister ska dessa redovisas. Här ser vi alltså ett mer långtgående ansvarsutkrävande än enligt ABL.
Bör rapporteringskrav avgränsas till finansiell rapportering?
På gott och ont har det under de senaste tio åren varit ett nära nog ensidigt fokus på intern kontroll och kvalitet i finansiell rapportering. Kända normgivningsinsatser såsom Sarbanes-Oxley Act i USA (SOX) och den svenska bolagsstyrningskoden tar primärt sikte på finansiell rapportering. Koden tycks vara inspirerad av SOX, där det ställs mycket höga krav på den finansiella rapporteringen ur perspektivet stark intern kontroll. Genom förbättrad kontroll i berörda processer har syftet varit att förbättra kvaliteten i bolagens bokslutsprocesser samt i den finansiella rapporteringen. Och visst har förbättringar skett. Men finns det därmed grund för att exkludera stora delar av övrig intern styrning och kontroll? Knappast, enligt vår mening. När de flesta risker som uppmärksammas är operativa eller strategiska till sin karaktär finns än större anledning att bekymra sig över hela den interna styrningen och kontrollen och inte enbart den del som avser finansiell rapportering. Ser vi till kända nutida incidenter handlar de ofta om bristande intern kontroll i operativa processer och inte primärt påtagliga brister i själva bokföringen eller i den finansiella rapporteringen. Enligt vår mening måste man se dessa delar sammantaget. Det är märkligt att vår kod inte har en bredare ansats. Motsvarigheten i Storbritannien borde kunna vara en förebild i detta avseende, vilken både omfattar finansiell rapportering samt andra aspekter av systemet för intern styrning och kontroll. Vi menar att det är hög tid för en förändring i Sverige.
Återigen kan vi notera en styrka i regelverket som gäller för myndigheter. Här är intern styrning och kontroll enligt förordningen 2007:603 inte avgränsad till bokföring och rapportering, utan omfattar hela verksamheten och därmed även andra typer av risker.
I somras publicerade IFAC en vägledning om intern styrning och kontroll2, Evaluating and Improving Internal Control in Organizations, International Good Practice Guidance. Vägledningen visar bland annat hur man ska bedriva sitt arbete för att den interna styrningen och kontrollen ska bli en naturlig del av företagets ordinarie verksamhet. IFAC säger vidare att intern styrning och kontroll stödjer riskhantering och möjliggör skapande och utveckling av värde för organisationen och dess intressenter. Det gäller alltså helheten, inte bara den finansiella rapporteringen. Det är rimligt att tro att utvecklingen både internationellt och i Sverige går mot att rapportering av intern styrning och kontroll kommer att krävas för den totala verksamheten i ett bolag, inte endast avseende finansiell rapportering. Vår förhoppning är att de rapporterande bolagens styrelser på detta sätt inser nyttan med en god och komplett rapportering till marknaden. I det arbetet kan IFACs nya dokument användas som stöd.
Carl Svernlöv och Anders Hult – artikel i Balans nr 11/2012 ”Är IFACs vägledning om intern styrning och kontroll rätt väg framåt?”.
Bör rapporteringskrav innefatta revisors yttrande?
Från 2010 ska bolagen enligt ABL (2005:551) låta rapporterna för intern styrning och kontroll revisorsgranskas. Det gäller i själva verket hela bolagsstyrningsrapporten, men här är de delar som avser internkontrollrapporten av särskilt intresse. Enligt årsrapporten från 2011 från Kollegiet för svensk bolagsstyrning revisorsgranskas i stort sett samtliga bolagsstyrningsrapporter vilket är intressant eftersom det är obligatoriskt. Cirka 40% av rapporterna granskas på nivån ”revision” och resterande genom en ”lagstadgad granskning”. Hur bör man se på revisorsyttrande i detta sammanhang? Bakgrunden till tillkomsten av revisorsyttrande inom olika områden rör självklart möjliga osäkerheter kring informationen. I början handlade detta om finansiell rapportering och de årsredovisningar som bolagen avlämnade, men efter uppmärksammade incidenter och problem i informationsgivningen utökades detta. Ett revisorsyttrande bör enligt vår mening höja informationsvärdet och ge ökad trygghet vad gäller att informationen är rättvisande och med verkligheten överensstämmande.
Sammanfattande reflektioner
Det är tydligt att rapportering av intern styrning och kontroll är ett område med förbättringspotential. Vidare är detta ett område som kapitalmarknad och allmänhet bör fästa större vikt vid – helt enkelt för att icke upptäckta brister ofta är orsaker till incidenter i företagen och förluster för ägare. Användare av rapporter bör ställa mycket högre krav – och fler frågor. För dem som presenterar informationen i bolagsstyrningsrapporterna handlar det om att övertyga användarna av dessa rapporter om att man har en effektiv intern styrning och kontroll. Vi menar vidare att det är dags att integrera rapportering av intern styrning och kontroll med rapportering av övrigt viktigt arbete som görs inom ramen för socialt ansvarstagande, styrning och riskhantering. Vi är övertygade om att dagens normgivning och den svenska koden bör utvecklas till att omfatta företagens hela system för intern styrning och kontroll. Det är dags att gå vidare från ett relativt snävt fokus på finansiell rapportering och inse att allt hänger ihop, även när det handlar om intern styrning och kontroll.
Anders Hult är specialist inom riskhantering på Deloitte samt ordförande i arbetsgruppen Intern styrning och kontroll, ett samarbete mellan FAR och IIA.
Olof Arwinge är rådgivare vid Grant Thornton, ledamot i arbetsgruppen Intern styrning och kontroll, ett samarbete mellan FAR och IIA och ordförande i IIA:s arbetsgrupp för yrkestekniska frågor.